Root-Rechte an einen User vergeben?

R

Ron

New Member
Hallo zusammen,

ich wollte mal fragen ob es sinnvoll ist einen User mit Root-Rechten einzurichten, da ich gehört habe das der Username "root" ja überall verbreitet ist. Ich hatte mir dadurch gehofft wenn ich den Zugang mit dem Loginnamen "root" sperre und mir die Rechte auf einen anderen Loginnamen gebe, es viel schwerer wäre dieses zu knacken. Ich hoffe ich bin mit meinem Gedankengang nicht ganz falsch. *g

Die Frage wäre dann nur, wie ich einem Benutzer volle Root-Zugriffe für den VServer gebe und gleichzeitig den Loginnamen "root" sperre.

Danke im Vorraus für eure Hilfe. ;)

Liebe Grüße, Ron.
 
Hallo,

ganz einfach gesagt, guck dir den Befehl 'sudo' mal an, der sollte bei soetwas meiner Meinung nach, das bevorzugte Werkzeug sein.

Ansonsten wüsste ich zwar wege, aber diese sind nicht 'von der feinen Art'
 
Solange wir nicht von kaputter Software (wie z.B. Plesk) reden ist der Superuser der mit der UID 0 und nicht der mit dem Namen root. :D

Aber wie sammy schon schrieb: sudo (alternativ su) ist hier das Mittel der Wahl, ein Login mit root haben hier viele gesperrt.
 
Ergänzend zu diesen Ausführungen: man legt einen normalen User an. Dieser User loggt sich normal ein. Wenn Root Rechte gebraucht werden, kann er sich mit "su" dauerhaft zum Superuser (=root) machen (z.B. unter Debian), oder - wie bei Ubuntu, wo das nicht geht - man verwendet "sudo" vor jedem Befehl der mit Rootrechten ausgeführt werden soll. Logischerweise muss man dann das Rootpasswort angeben.

TIP: Man sollte den Login mit dem normalen Nutzer testen, BEVOR man den root SSH Login sperrt. Auch muss der SSH Dienst wohl neu gestartet werden, bevor diese Konfigurationsänderung aktiv ist (in der Regel mit "etc/init.d/ssh restart").
 
Thunderbyte said:
Logischerweise muss man dann das Rootpasswort angeben.
Click to expand...

Du gibst natürlich das USER-Passwort an. root hat unter Ubuntu kein Passwort - bzw. auch keinen PW-Hash, weshalb der Login als root auch nicht funktioniert.
In dem Moment, wo du ein "sudo passwd root" erfolgreich durchführst, ist auch der Login per SSH möglich.
 
wstuermer said:
Du gibst natürlich das USER-Passwort an.
Click to expand...
Ist das wirklich so? Dann hätte ein Angreifer also root-Rechte ohne den root-Account knacken zu müssen? Ist sudo unter Ubuntu also so kaputt gepatched dass selbst bei gesetztem root-Passwort nur das User-Passwort abgefragt wird?

Nutzerfreundlichkeit ist ja duchaus lobenswert, aber doch nicht auf solch hohe Kosten der Sicherheit...
 
Sehr gute Frage. Ich würde mal einfach behaupten, dass die die 'sudoers' angepasst haben. Dabei ist wohl der erste angelegte User der auch Rechte für sudo bekommt. Ich persönlich mag das nicht. Debian nervt auch so langsam. Da gibt es einige Sachen, die bei der Standard-Installation eines Servers einfach ein NO-GO sind.
 
Joe User said:
Ist das wirklich so? Dann hätte ein Angreifer also root-Rechte ohne den root-Account knacken zu müssen? Ist sudo unter Ubuntu also so kaputt gepatched dass selbst bei gesetztem root-Passwort nur das User-Passwort abgefragt wird?
Click to expand...

Das funktioniert natürlich nur, wenn vorher der Nutzer auch der sudoer Liste hinzugefügt wurde. Aber dann ist es wohl wirklich das Userpasswort.
 
Der erste angelegte User (während der Install) bekommt ein ~/.sudo_as_admin_successful

Was mich an der Stelle nun aber interessiert - und ich die Tage mal testen werde - was passiert, wenn ich die Datei einfach bei einem anderen User anlege. Ob der dann auch einfach sudo darf, obwohl er nicht in der /etc/sudoers steht.
 
Thunderbyte said:
Aber dann ist es wohl wirklich das Userpasswort.
Click to expand...
OK, ich habe nochmal schnell die Manpage gelesen und das ist das Standardverhalten. Da ich selbst ausschliesslich su verwende, war ich von identischem Verhalten ausgegangen :-/

Aber dem ersten User per Default root-Rechte per sudo zu geben, ist trotzdem inakzeptabel. Daher mangels Ubuntu die Frage, ob der erste User uneingeschränkt Befehle als root ausführen darf, oder nur auserwählte?
 
Das definiert sich zusätzlich über die Zugehörigkeit zur Gruppe 'admin', die wie folgt definiert ist.
Code: 
%admin ALL=(ALL) NOPASSWD: ALL
 
Nein, weil du immer nochmal dein Passwort eingeben musst. Zumindest ist das bei allen Ubuntus so, die ich kenne.
 
Joe User said:
Nutzerfreundlichkeit ist ja duchaus lobenswert, aber doch nicht auf solch hohe Kosten der Sicherheit...
Click to expand...

Dafür kann root sich per default nicht anmelden.
Der User, der bei der Installation angelegt wird, kann halt Admin werden (über sudo). Bei Ubuntu heisst er Hinz oder Kunz und hat ein Passwort, bei anderen Distributionen root, kann direkt ohne sudo alles und hat ein Passwort. Mir scheint die Ubuntu-Lösung sicherer:

- der Name des administrativen Useraccounts ist unbekannt
- der administrative User muss sich weitergehende Rechte trotzdem per sudo besorgen
 
Da Ubuntu auf (unbedarfte) Desktop-User ausgelegt ist, wird im Regelfall wie bei Windows ausschliesslich mit dem ersten User gearbeitet und somit hat Angreifer uneingeschränkt direkte root-Rechte (NOPASSWD: ALL), er muss seinen Aktivitäten lediglich ein sudo voranstellen.
Und da sich User die Malware im Regelfall selbst auf den Rechner holt, braucht Angreifer auch den Usernamen nicht kennen.
Erinnert mich irgendwie an Windows !=NT

Aber egal, Ubuntu ist ohnehin für DAUs gedacht und denen ist soetwas Schnuppe...


Meinetwegen kann hier das EOD eingeläutet werden, bevor wir im Flamewar landen.
 
Du kannst doch das Passwort von root dennoch ändern, wo ist dann das problem?
 
Der erste User darf auch dann noch sudo ohne Passwortabfrage durchführen.
Dann lieber eine Distro, die mich bereits während der Installation dazu zwingt/nötigt root ein Passwort zu verpassen und zusätzlich einen normalen Useraccount anzulegen und ohne eine aufgeweichte sudoers mitzuliefern.
Letzteres machen eigentlich alle halbwegs vernünftigen Distros so, warum Ubuntu nicht?
 
You must log in or register to reply here.
Back
Top